图 123123 1.2. ISO/IEC 27000 标准族 1.2.1. ISO/IEC 27001 发展历程 ISO27000 从诞生到现在只不过 20 年间的事情, 但基本上可以看出一个标准源于生活, 高于生活的发展

Similar documents

说明为了反映教运行的基本状态, 为校和院制定相关政策和进行教建设与改革提供据依据, 校从程资源 ( 开类别开量规模 ) 教师结构程考核等维度, 对 2015 年春季期教运行基

采取行动的机会 90% 开拓成功的道路 2

0 年上半年评价与考核细则序号部门要素值考核内容考核方式考核标准考核 ( 扣原因 ) 考评得 3 安全生产目 30 无同等责任以上道路交通亡人事故无轻伤责任事故无重大质量

评委 : 李炎斌 - 个人技术标资信标初步审查明细表序号投标单位投标函未按招标文件规定填写漏填或内容填写错误的 ; 不同投标人的投标文件由同一台电脑或同一家投标单

抗战时期国民政府的银行监理体制探析 % # % % % ) % % # # + #, ) +, % % % % % % % %

深圳市新亚电子制程股份有限公司

Microsoft Word - 文件汇编.doc

<433A5C446F63756D656E E E67735C41646D696E F725CD7C0C3E65CC2DBCEC4CFB5CDB3CAB9D3C3D6B8C4CFA3A8BCF2BBAFA3A95CCAB9D3C3D6B8C4CF31302D31392E646F63>

评委 : 徐岩宇 - 个人技术标资信标初步审查明细表序号投标单位投标函未按招标文件规定填写漏填或内容填写错误的 ; 不同投标人的投标文件由同一台电脑或同一家投标单

金不少于 800 万元, 净资产不少于 960 万元 ; (3) 近五年独立承担过单项合同额不少于 1000 万元的智能化工程 ( 设计或施工或设计施工一体 ) 不少于 2 项 ; (4) 近三年每年

何秋琳张立春视觉学习研究进展视觉注意视觉感知

全国建筑市场注册执业人员不良行为记录认定标准（试行）.doc

修改版-操作手册.doc

一公共卫生硕士专业学位论文的概述学位论文是对研究生进行科学研究或承担专门技术工作的全面训练, 是培养研究生创新能力, 综合运用所学知识发现问题, 分析问题和解决

( ) 信号与系统 Ⅰ 学科基础必修课教周 2016 年 06 月 13 日 (08:00-09:35) ( )

2006年顺德区高中阶段学校招生录取分数线

<4D F736F F D D323630D6D0B9FAD3A6B6D4C6F8BAF2B1E4BBAFB5C4D5FEB2DFD3EBD0D0B6AF C4EAB6C8B1A8B8E6>

2014年中央财经大学研究生招生录取工作简报

《C语言基础入门》课程教学大纲

工程勘察资质标准根据建设工程勘察设计管理条例和建设工程勘察设计资质管理规定, 制定本标准一总则 ( 一 ) 本标准包括工程勘察相应专业类型主要专业技术人员配备技术

,,,,, :,, (.,, );, (, : ), (.., ;. &., ;.. &.., ;, ;, ),,,,,,, ( ) ( ),,,,.,,,,,, : ;, ;,.,,,,, (., : - ),,,, ( ),,,, (, : ),, :,

18 上报该学期新生数据至阳光平台第一学期第四周至第六周 19 督促学习中心提交新增专业申请第一学期第四周至第八周 20 编制全国网络统考十二月批次考前模拟题第一学

ETF、分级基金规模、份额变化统计

<4D F736F F D20B9D8D3DAB0BABBAAA3A8C9CFBAA3A3A9D7D4B6AFBBAFB9A4B3CCB9C9B7DDD3D0CFDEB9ABCBBE C4EAC4EAB6C8B9C9B6ABB4F3BBE1B7A8C2C9D2E2BCFBCAE92E646F6378>

Microsoft Word - 第7章图表反转形态.doc

证监会行政审批事项目录

珠江钢琴股东大会

3 月 30 日在中国证券报上海证券报证券时报证券日报和上海证券交易所网站上发出召开本次股东大会公告, 该公告中载明了召开股东大会的日期网络投票的方式时间以及审

<4D F736F F D20B6C0C1A2B6ADCAC2D0ECCCFABEFDCFC8C9FABCB0CCE1C3FBC8CBC9F9C3F72E646F63>

附件 : 上海市建筑施工企业施工现场项目管理机构关键岗位人员配备指南二一四年九月十一日 2

西南民族学院学报哲学社会科学版第卷资料来源中国统计年鉴年年新中国五十年统计资料汇编中国人口统计年鉴年数据资料来源中国统计年鉴中国统计出版社年版资料来源

<433A5C C6B73625C B746F705CB9FABCCAD6D0D2BDD2A9D7A8D2B5B8DFBCB6BCBCCAF5D6B0B3C6C6C0C9F3C9EAC7EBD6B8C4CFA3A CDA8D3C3B0E6A3A92E646F63>

上海证券交易所会议纪要

龚亚夫在重新思考基础教育英语教学的理念一文中援引的观点认为当跳出本族语主义的思维定式后需要重新思考许多相连带的问题比如许多发音的细微区别并不影响理解和

一开放性的政策与法规二两岸共同的文化传承三两岸高校各自具有专业优势远见杂志年月日

一、资质申请

·岗位设置管理流程

年 8 月 11 日, 公司召开 2015 年第五次临时股东大会, 审议通过了关于公司 <2015 年股票期权激励计划 ( 草案 )> 及其摘要的议案关于提请股东大会授权董事会办理公

光明乳业股份有限公司

新, 各地各部门 ( 单位 ) 各文化事业单位要高度重视, 切实加强领导, 精心组织实施要根据事业单位岗位设置管理的规定和要求, 在深入调查研究广泛听取意见的基础上, 研究提

2016年德州市机构编制委员会

证券代码：证券简称：长城电脑公告编号：

三门峡市质量技术监督局清单公示

<4D F736F F D20D0A3B7A2A1B A1B BAC5B9D8D3DAD7E9D6AFBFAAD5B9C8ABD0A3BDCCD6B0B9A4B8DACEBBC6B8D3C3B1E4B6AFB9A4D7F7B5C4CDA8D6AA2E646F63>

名称生命科学学院环境科学 1 生物学仅接收院内调剂, 初试分数满足我院生物学复试最低分数线生命科学学院生态学 5 生态学或生物学生命科学学院

关于修订《沪市股票上网发行资金申购

上海证券交易所会议纪要

境外上市外资股股东持有股份总数 (H 股 ) 489,157,907 3 出席会议的股东所持有表决权股份数占公司有表决权股份总数的其中 :A 股股东持股占股份总数的

收入支出项目 2016 年预算项目 2016 年预算预算 01 表单位 : 万元 ( 保留两位小数 ) 一公共财政预算拨款一人员经费一般财力人员支出成品

国债回购交易业务指引

物流从业人员职业能力等级证书分为四个级别, 分别为初级助理级中级和高级 ; 采购从业人员职业能力等级证书分为三个级别, 分别为中级高级和注册级请各有关单位按照通

马克思主义公正观的基本向度及方法论原则!! # #

十九被提名人不是已经离职和退 ( 离 ) 休后三年内, 且拟任独立董事职务未按规定获得本人原所在单位党组 ( 党委 ) 及中央纪委中央组织部同意的中央管理干部二十被提名人

国家职业标准：网络课件设计师

2 根据广东省交通建设工程施工现场开工前考核评表或根据广东省交通建设工程施工现场实施过程考核评表的和内容进行核查 ; 3 现场抽查具有代表性的各岗位人员 ( 从事

<4D F736F F D20322EC9F3BACBC8CBD4B1D7CAB8F1D7A2B2E1B9DCC0EDB9E6B7B6B8BDB1ED2E646F63>

( 二 ) 现行统一高考制度不利于培养人的创新精神,,,,,,,,,,,,, [ ],,,,,,,,,,, :, ;,,,,,,? ( 三 ) 现行统一高考制度不利于全体学生都获得全面发展,, [ ],,,,,,,,,,,

随着执业中医师资格考试制度的不断完善，本着为我校中医学专业认证服务的目的，本文通过对我校中医类毕业生参加2012年和2013年的中医执业医师考试成绩及通过率、掌握率进行分析，并与全国的平均水平进行差异比较分析，以此了解我校执业中医师考试的现状，进而反映我校中医类课程总体教学水平，发现考核知识模块教学中存在的不足，反馈给相关学院和教学管理部门，以此提高教学和管理水平。

HSK( 一级 ) 考查考生的日常汉语应用能力, 它对应于国际汉语能力标准一级欧洲语言共同参考框架 (CEF) A1 级通过 HSK( 一级 ) 的考生可以理解并使用一些非常简单的汉语

第四条建设单位对可能产生职业病危害的建设项目, 应当依照本办法向安全生产监督管理部门申请职业卫生三同时的备案审核审查和竣工验收建设项目职业卫生三同时工作可

行政管理学考试题库

Microsoft Word - 中节能_工业项目节能评估审查导则Draft.doc

2. 本次修改后, 投资者申购新股的持有市值要求市值计算规则及证券账户使用的相关规定是否发生了变化? 答 : 未发生变化投资者申购新股的持有市值是指, 以投资者为单位

国际财务报告准则第13号——公允价值计量

B-002 行政处罚在气象探测环境保护范围内从事危害气象探测环境活动的处罚中华人民共和国气象法第三十五条第一款第二项 B-003 行政处罚在

年中国煤炭行业研究分析报告

一从分封制到郡县制一从打虎亭汉墓说起

抗日战争研究年第期

目录关于图标... 3 登陆主界面... 3 工单管理... 5 工单列表... 5 搜索工单... 5 工单详情... 6 创建工单... 9 设备管理巡检计划查询详情销售管

教师上报成绩流程图

名称依据使主体 5 对煤矿注册安全工程师注册执业活动的监督规章注册安全工程师管理规定第五条国家安全生产监督管理总局 ( 以下简称安全监管总局 ) 对全国注册安全工

自内部控制评价报告基准日至内部控制评价报告发出日之间未发生影响内部控制有效性评价结论的因素 5. 内部控制审计意见是否与公司对财务报告内部控制有效性的评价结

<4D F736F F D20C6F3D2B5C5E0D1B5CAA6B9FABCD2D6B0D2B5B1EAD7BC2E646F63>

现场会议时间为 :2016 年 5 月 19 日网络投票时间为 :2016 年 5 月 18 日年 5 月 19 日其中通过深圳证券交易所交易系统进行网络投票的时间为 2016 年 5 月 19 日 9:30-

合并计算配售对象持有多个证券账户的, 多个证券账户市值合并计算确认多个证券账户为同一配售对象持有的原则为证券账户注册资料中的账户持有人名称有效身份证明文件

<4D F736F F D20D6D0B9FABDE1CBE3C9CFBAA3B7D6B9ABCBBECCD8CAE2B7A8C8CBBBFAB9B9D6A4C8AFD5CBBBA7BFAABBA7D2B5CEF1D6B8C4CF2E646F63>

¹ º ¹ º 农业流动人口是指户口性质为农业户口在流入地城市工作生活居住一个月及以上的流动人口非农流动人口是指户口性质为非农户口在流入地城市工作生活居住一个

第六条资格证书实行总量控制合理布局集中受理动态管理集中受理时间提前 3 个月公告第七条资格证书的颁发延续和取消等应当征求有关水行政主管部门的意见第八条申请

Microsoft Word - 文档 1

公开刊物须有国内统一刊 (CN), 发表文章的刊物需要在国家新闻出版广电总局 ( 办事服务便民查询新闻出版机构查询 ) 上能够查到刊凡在有中国标准书公开

：厦门安妮股份有限公司关于重大资产重组事项相关公告的更正公告+

全面预算管理暂行办法

中中中中部中岗位条件历其它历史师地理师生物师体与健康师从事中历史工从事中地理工从事中生物工从事中体与健康工 2. 课程与论 ( 历史 ); 2. 科 ( 历史 )

( 此页无正文, 为广东东方精工科技股份有限公司关于提供资料真实准确和完整的承诺函之签署页 ) 广东东方精工科技股份有限公司法定代表人 : 唐灼林 2016 年 7 月 28 日

上海工程技术大学教学管理工作流

股票简称：利尔化学股票代码：公告编号：2008-

中国软科学年第期!!!

目录一系统访问... 1 二门户首页申报用户审核用户... 2 三系统登录用户名密码登录新用户注册用户登录已注册用

Transcription:

1. 信息安全管理体系 ISO/IEC 27001 1.1. 管理体系及其产业链管理体系是组织用来保证其完成任务, 事件目标的过程集的框架在 ISO 9000:2000 中, 将其定义为建立方针和目标并实现这些目标的体系注 : 一个组织的管理体系可包括若干个不同的管理体系, 如质量管理体系财务管理体系或环境管理体系一个典型的管理体系框架如下图所示 : 图 1-1 目前存在很多的管理体系, 例如质量管理体系环境管理体系职业健康管理体系信息安全管理体系等质量管理体系是出现比较早发展比较成熟的管理体系, 其他管理体系或多或少都借鉴了质量管理体系的经验管理体系形成的完整的产业链, 如图 11 所示. 信息安全管理体系正如其名称所表述的含义, 就是关于信息安全的管理体系信息安全管理体系是整个管理体系的一部分它是基于业务风险方法, 来建立实施运行监视评审保持和改进信息安全的 ISMS 的概念已经跳出了传统的为了安全信息而信息安全的理解, 它强调的是基于业务风险方法来组织信息安全活动, 其本身只是整个管理体系的一部分这就要求我们站在全局的观点看待信息安全问题

图 123123 1.2. ISO/IEC 27000 标准族 1.2.1. ISO/IEC 27001 发展历程 ISO27000 从诞生到现在只不过 20 年间的事情, 但基本上可以看出一个标准源于生活, 高于生活的发展特点, 也就是说, 一个真正普遍适用并能被普遍接受的标准, 必然是能体现相关领域最佳惯例并能为最佳惯例的推广起指导作用的 BS7799 最初是由英国贸工部 (DTI) 立项的, 是业界政府和商业机构共同倡导的, 旨在开发一套可供开发实施和测量有效安全管理惯例并提供贸易伙伴间信任的通用框架负责标准开发和管理工作的 BSI DISC Committee BDD/2 是由来自贸易和工业部门的众多代表共同组成的, 其成员在各自的领域都具有足够的影响力, 包括金融业的英国保险协会渣打会计协会汇丰银行等, 通信行业有大英电讯公司, 还有像壳牌联合利华毕马威 (KPMG) 等这样的跨国机构 1995 年,BS7799 1:1995 信息安全管理实施细则首次出版 ( 其前身是 1993 年发布的 PD0005), 它提供了一套综合性的由信息安全最佳惯例构成的实施细则, 目的是为确定各类信息系统通用控制提供唯一的参考基准在随后一段时间里, 由于电子商务的发展, 由此引发客户供应商贸易伙伴间对各自信息保护能力的信任问题, 促使第三方认证成为一个急需信息安全管理遵循一套最佳惯例, 但怎样做的? 执行程度如何? 是否完备? 这就需要有一个共同的尺度来进行衡量 1998 年,BS7799 2:1998 信息安全管理体系规范公布, 这是对 BS7799 1 的有效补充, 它规定了信息安全管理体系的要求和对信息安全控制的要求, 是一个组织信息安全管理体系评估的基础, 可以作为认证的依据至此,BS7799 标准初步成型 1999 年 4 月,BS7799 的两个部分被重新修订和扩展, 形成了一个完整版的 BS7799:1999 新版本充分考虑了信息处理技术应用的最新发展, 特别是在网络和通信领域除了涵盖以前版本所有内容之外, 新版本还补充了很多新的控制, 包括电子商务移动计算远程工作等由于 BS7799 日益得到国际认同, 使用的国家也越来越多,2000 年 12 月, 国际标准化组织 ISO/IEC JTC 1/SC27 工作组认可 BS7799 1:1999, 正式将其转化为国际标准, 即所颁布

的 ISO/IEC 17799:2000 信息技术信息安全管理实施细则作为一个全球通用的标准, ISO/IEC 17799 并不局限于 IT, 也不依赖于专门的技术, 它是由长期积累的一些最佳实践构成的, 是市场驱动的结果 2002 年,BSI 对 BS7799:2 1999 进行了重新修订, 正式引入 PDCA 过程模型, 以此作为建立实施持续改进信息安全管理体系的依据, 同时, 新版本的调整更显示了与 ISO9001:2000 ISO14001:1996 等其他管理标准以及经济合作与开发组织 (OECD) 基本原则的一致性, 体现了管理体系融合的趋势 2004 年 9 月 5 日,BS7799 2:2002 正式发布, 随即提交 ISO 并迈入快速通道 2005 年 6 月,ISO/IEC 17799:2000 经过改版, 形成了新的 ISO/IEC 17799:2005, 新版本较老版本无论是组织编排还是内容完整性上都有了很大增强和提升紧接着, 被期待已久的 BS7799 2:2002 也终于被 ISO 组织所采纳, 于同年 10 月推出了 ISO/IEC 27001:2005 2007 年 10 月,ISO/IEC 17799:2005 被正式纳入 ISO27000 体系, 成为 ISO27002:2007 2013 年 9 月,ISO/IEC 27001:2005 经过改版, 形成了新的 ISO/IEC 27001:2013, 新版本从原先 8 个章节扩展到 10 个章节, 重建了 ISO 标准 PDCA 章节架构, 并将旧版 11 个控制域扩展到 14 个, 使结构更合理, 表现更清晰作为认证标准,ISO27000 系列中最关键的还是 ISO27001, 所以, 人们更习惯以 ISO27001 来直接代表此系列信息安全管理标准图 5 所示为 ISO27000 系列标准的发展历程 1.2.2. ISO/IEC 27000 标准族一览体如下 : ISO/IEC 27000 族标准是国际化组织专门为 ISMS 预留下来的一系列相关标准的总称具序号标准编号标准名称出版年份 1 ISO/IEC27000 信息技术 - 安全技术 - 信息安全管理体系 - 概述与术语 2009

序号标准编号标准名称出版年份 2 ISO/IEC27001 3 ISO/IEC27002 4 ISO/IEC27003 信息技术 - 安全技术 - 信息安全管理体系 - 要求信息技术 - 安全技术 - 信息安全管理 - 实用规则信息技术 - 安全技术 - 信息安全管理体系 - 实施指南 2013 2013 2010 5 ISO/IEC27004 信息技术 - 安全技术 - 信息安全管理 - 度量 2009 6 ISO/IEC27005 信息技术 - 安全技术 - 信息安全风险管理 2011 7 ISO/IEC27006 8 ISO/IEC27007 9 ISO/IEC27008 10 ISO/IEC27010 11 ISO/IEC27011 12 ISO/IEC27013 信息技术 - 安全技术 - 信息安全管理体系 - 认证机构要求信息技术 - 安全技术 - 信息安全管理体系审核指南信息技术 - 安全技术 -ISMS 控制措施的审核员指南信息技术 - 安全技术 - 部门间和组织间通信的信息安全管理信息技术 - 安全技术 - 通讯行业基于 ISO/IEC27002 的信息安全管理指南信息技术 - 安全技术 -ISO/IEC 27001 与 ISO/IEC 20000-1 整合实施指南 2007 2011 2011 2012 2008 2012 13 ISO/IEC27014 信息技术 - 安全技术 - 信息安全治理架构 2013 14 ISO/IEC27015 15 ISO/IEC27017 16 ISO/IEC27018 17 ISO/IEC27031 信息技术 - 安全技术 - 金融服务行业信息安全管理指南信息技术 - 安全技术 - 信息安全管理 - 基于 ISO/IEC 27002 使用云计算服务信息安全控制措施指南信息技术 - 安全技术 - 公共云计算服务数据保护控制措施实用规则信息技术 - 安全技术 - 业务连续性信息通信技术准备指南 2012 未发布未发布 2011 18 ISO/IEC27032 信息技术 - 安全技术 - 网络安全技术指南 2012 19 ISO/IEC27033-1 信息技术 - 安全技术 - 网络安全 - 概述与概念 2009 20 ISO/IEC27033-2 21 ISO/IEC27033-3 22 ISO/IEC27034-1 23 ISO/IEC27034-2 信息技术 - 安全技术 - 网络安全 - 网络安全设计与实施指南信息技术 - 安全技术 - 网络安全 - 参考网络场景 - 威胁设计技术与控制问题信息技术 - 安全技术 - 应用安全 - 应用安全概述与概念信息技术 - 安全技术 - 应用安全 - 组织规范框架 2012 2010 2011 未发布

序号标准编号标准名称出版年份 24 ISO/IEC27034-3 25 ISO/IEC27034-4 26 ISO/IEC27034-5 27 ISO/IEC27034-6 信息技术 - 安全技术 - 应用安全 - 应用安全管理流程信息技术 - 安全技术 - 应用安全 - 应用安全验证信息技术 - 安全技术 - 应用安全 - 协议和应用安全控制数据结构信息技术 - 安全技术 - 应用安全 - 特定应用安全指南未发布未发布未发布未发布 28 ISO/IEC27035 信息技术 - 安全技术 - 信息安全事件管理 2011 29 ISO/IEC27036 信息技术 - 安全技术 - 供应关系信息安全 (4 部分 ) 未发布 30 ISO/IEC27040 信息技术 - 安全技术 - 存储安全未发布 31 ISO/IEC27044 信息技术 - 安全技术 - 安全信息与事态管理指南未发布 1.2.3. 主要标准简介 1. ISO/IEC 27000 ISO/IEC 27000 信息安全管理体系概述与术语提供了 ISMS 标准族中所涉及的通用术语及基本原则, 是 ISMS 标准族中最基础的标准之一 ISMS 标准族中的每个标准都有术语和定义部分, 但不同标准的术语间往往缺乏协调性, 而 ISO/IEC 27000 则主要用于实现这种协调 2. ISO/IEC 27001 ISO/IEC 27001 信息安全管理体系要求是建立信息安全管理体系 (ISMS) 的一套规范, 其中详细说明了建立实施和维护信息安全管理体系的要求, 本标准将在第 3 章进行详细的解析 3. ISO/IEC 27002 ISO/IEC 27002 信息安全管理实用规则为在组织内启动实施保持和改进信息安全管理提供指南和通用的原则该标准概述的目标提供了有关信息安全管理通常公认的目标的通用指南其包含的实施规则可以认为是开发组织具体指南的起点但该实施规则中的控制和指导并不全都是适用的, 应当根据企业自身情况对控制措施进行扩充与裁减 4. ISO/IEC 27003 ISO/IEC 27003 信息安全管理体系实施指南为建立实施监视评保持和改进符合 ISO/IEC 27001 的 ISMS 提供了实施指南和进一步的信息, 使用者主要为组织内负责实施 ISMS 的人员 5. ISO/IEC 27004 ISO/IEC 27004 信息安全管理测量主要为组织测量信息安全控制措施和 ISMS 过程的有效性提供指南该标准将测量分为有效性测量和过程测量两个类别, 列出了多种测量方法, 例如调查问卷观察知识评估检查二次执行测试以及抽样等

该标准定义了 ISMS 的测量过程 : 1) 首先要实施 ISMS 的测量, 应定义选择测量措施, 同时确定测量对象和检验标准, 形成测量计划 ; 2) 实施 ISMS 测量的过程中, 应定义数据的收集分析和报告程序并评审批准提供资源以支持测量活动的开展 ; 3) 在 ISMS 的检查和处置阶段, 也应对测量措施加以改进, 这就要求首先定义测量过程的评价准则, 对测量过程加以监控, 并定期实施评审 6. ISO/IEC 27005 ISO/IEC 27005 信息安全风险管理给出了信息安全风险管理的指南, 其中描述的技术遵循 ISO/IEC 27001 中的通用概念模型和过程该标准介绍了一般性的风险管理过程, 并重点阐述了风险评估的几个重要环节, 包括风险评估风险处理风险接受等在标准的附录中, 给出了资产影响脆弱性以及风险评估的方法, 并列出了常见的威胁和脆弱性最后还给出了根据不同通信系统以及不同安全问题和威胁选择控制措施的方法 7. ISO/IEC 27006 ISO/IEC 27006 信息安全管理体系认证机构的要求认可的主要内容是对从事 ISMS 认证的机构提出了要求和规范, 或者说它规定了一个机构具备怎样的条件就可以从事 ISMS 认证业务 8. ISO/IEC 27007 ISO/IEC 27007 信息安全管理体系审核指南为有认证资格的组织按照 ISO/IEC 27001 和 ISO/IEC 27002 来审核待认证的企业的 ISMS 该标准主要参考 ISO/IEC 19001:2002 质量和环境管理体系审核指南所有管理体系基本都是相通的,ISO/IEC 27007 强调了 ISMS 的特殊之处 9. ISO/IEC 27008 ISO/IEC 27008 是关于技术类控制的审核部分, 为审核员提供了控制措施的审核指南 1.3. ISO/IEC 27001:2013 版概述 1.3.1. 标准的基本架构 ISO/IEC 27001:2013 采用了 ISO Guide 83 的通用架构, 该导则对管理体系标准在架构格式通用短语和定义方面进行了统一, 同时也是 ISO 组织未来所有管理制度制定时的重要依据此通用架构将确保今后编制或修订管理体系标准的持续性整合性和简单化, 这也将使标准更易读易懂, 有利于不同管理体系间进行接轨整合第一个采用导则 83 的标准是 2013 年年 5 月发布的业务连续管理体系标准 ISO 22301:2012 预计已颁布的标准如 ISO9000/ ISO20000 未来的改版也将采用了 ISO Guide 83 的通用架构下图为 ISO Guide 83 的通用架构

从目录结构上不难看出, 标准不再对 PDCA 模型进行大段描述, 而是将其思想方法融汇到标准的架构中下图为 ISO/IEC 27001:2013 的基本架构 1.3.2. 标准正文内容简介该标准第 1-3 章主要阐明了该标准的适用范围引用的文件及术语和定义第 4 章属于 Plan 阶段的一个组成部分该章节介绍了建立适用于组织信息安全管理环境的必要要求, 包括需求要求与范围涉及了解组织现状及背景明确建立信息安全管理体系的目的理解相关方的需求与期望确定信息安全管理体系范围第 5 章属于 Plan 阶段的一个组成部分该章节总结了最高管理层在信息安全管理体系中承担角色的具体要求, 以及如何通过一份声明的策略来向组织传达领导层的期望涉及了领导力和承诺信息安全方针目标, 以及角色职责和承诺

第 6 章属于 Plan 阶段的一个组成部分该章节介绍了处理风险和机遇的行动, 以及可实现的信息安全目标与实现计划涉及了信息安全风险评估风险所有者信息安全风险处置适用性声明信息安全目标第 7 章属于 Plan 阶段的一个组成部分该章节详细叙述了建立实施保持和改进一个有效的信息安全管理体系所需要的支持包括 : 资源要求参与人员的能力意识与利益相关方沟通文档化信息第 8 章属于 Do 阶段的一个组成部分该章节描述了组织信息安全体系实施中的必要过程, 涉及运行计划及控制信息安全风险评估信息安全风险处置第 9 章属于 Check 阶段的一个组成部分该章节总结了度量 ISMS 执行 ISMS 与国际标准及管理层期望的符合性寻求管理层期望反馈的要求, 涉及监控度量分析和评价, 内部审核, 管理评审第 10 章属于 Action 阶段的一个组成部分该章节描述了组织应通过纠正行动来识别和改进不符合项, 涉及不符合项不纠正措施持续改进 1.4. ISO/IEC 27001:2013 版变化 1.4.1. 整体变化 ISO27001:2013 版对标准架构进行了大幅修改, 以适应未来管理体系标准中使用的新的架构, 简化与其他管理体系的整合标准新版删除了旧版中重复不适用的内容, 结构上更清晰, 内容上更精炼, 逻辑上更严谨, 并且在管理要求的定义上变得更具弹性, 给予组织更灵活的实施空间 2005 版原本有 11 个控制域 133 个控制项,2013 标准调整为 14 个控制域 114 个控制项控制项变化 : 增加了 11 个控制项删除了 20 个控制项合并移动减少 10 个控制项, 总计减少了 19 个控制项

1.4.2. 正文部分的变化 1.4.2.1. 正文部分架构的变化 ISO27001:2013 版对正文的架构进行了调整, 采用了 ISO Guide 83 的通用架构, 采用此架构的好处在于可将各标准的要求, 以统一的架构进行描述 Annex SL 架构考虑了管理体系间的兼容性, 有利于不同管理体系间进行接轨整合变化的调整详见下图

1.4.2.2. PDCA 的融合在 ISO27001:2005 版中, 标准在正文部分中对 PDCA 模型进行了大幅描述, 在 ISO27001:2013 版中, 标准删除了对 PDCA 的描述内容, 取而代之的是正文 10.2 中的一句持续改进但从标准编写的目录结构上看,2013 版正文内容调整为策划支持运行绩效评价改进, 架构上其实已经融入了 PDCA 思想如图 1.4.2.3. 风险评估的变化新版简化了对风险识别风险分析的要求的描述, 不再强调对资产责任人威胁脆弱性等进行识别, 这意味着组织可选用的风险评估的方法可以更加宽泛和灵活组织可以根据自身的情况, 选用简化的风险评估方法, 或继续使用现行的方法

1.4.3. 附录 A 内容变化 1.4.3.1. 附录 A 变化变化概述在控制域结构上,ISO27001:2013 版将密码学和供应关系列成两个单独的控制域, 并将旧版的通信与操作管理拆分为操作安全和通信安全两个控制域, 详见下图在控制措施的设置上,ISO27001:2013 保留了多数老的控制项, 但对旧版中相近或类似的项进行了整合, 删除了部分过时的或太过于具体的控制措施, 并针对这几年信息技术的发展, 将移动设备管理列入了控制项 1.4.3.2. 新增的控制措施 ISO/IEC 27001:2013 较 2005 版新增了 11 个控制措施, 新增的控制措施如下 : 注 : 由于对应国标暂未出台, 尚无官方的中文翻译, 以下译文仅作参考 1) A.6.1.5 Information security in project management 项目管理中的信息安全描述 Information security shall be addressed in project management, regardless of the type of the project. 参考译文实施任何项目应考虑信息安全的相关要求说明该控制项加强了对项目中的安全管理 2) A.12.6.2 Restrictions on software installation 限制软件安装描述 Rules governing the installation of software by users shall be established and implemented. 参考译文应建立和实施用户软件安装的规则

说明该控制项意在加强对版权和技术漏洞的控制 3) A.14.2.1 Secure development policy 安全的开发策略描述 Rules for the development of software and systems shall be established and applied to developments within the organization. 参考译文应建立组织内部的软件和系统的开发准则说明该控制项加强了信息系统生命周期中的安全开发策略 4) A.14.2.5 Secure system engineering principles 安全系统工程原则描述 Principles for engineering secure systems shall be established, documented, maintained and applied to any information system development efforts. 参考译文应建立记录维护和应用安全系统工程原则, 并应用于任何信息系统工程说明该控制项加强了信息系统生命周期中的程序与流程 5) A.14.2.6 Secure development environment 开发环境安全描述 Organizations shall establish and appropriately protect secure development environment for system development and integration efforts that cover the entire system development lifecycle. 参考译文在整个系统开发生命周期的系统开发和集成工作中, 应建立并适当保护开发环境的安全说明该控制项加强了信息系统生命周期中的开发环境安全 6) A.14.2.8 System security testing 系统安全测试描述 Testing of security functionality shall be carried out during development. 参考译文在开发过程中, 应进行安全性测试说明该控制项加强了信息系统生命周期中的系统安全性 7) A.15.1.1 Information security policy for supplier relationships 供应商关系的信息安全策略描述 Information security requirements for mitigating the risks associated with supplier access to organization s assets shall be documented. 参考译文为降低供应商使用组织资产所带来的风险, 应与供应商签署包含安全要求的协议说明此项控制措施加强了对供应商的管理要求 8) A.15.1.3 Information and communication technology supply chain 信息和通信技术的供应链

描述 Agreements with suppliers shall include requirements to address the information security risks associated with information and communications technology services and product supply chain. 参考译文供应商协议应包括信息通信技术服务和铲平供应链的相关信息安全要求说明此项控制措施提出了供应链的概念, 加强了对供应链中断的风险控制 9) A.16.1.4 Assessment and decision on information security events 评估和决策信息安全事件描述 Information security events shall be assessed and it shall be decided if they are to be classified as information security incidents. 参考译文应评估信息安全事态, 以决定是否将其认定为信息安全事件说明信息安全事件处理中增加了评估程序 10) A.16.1.5 Response to information security incidents 信息安全事件的响应描述 Information security incidents shall be responded to in accordance with the documented procedures. 参考译文应按照文件化的程序响应信息安全事件说明强调安全事件响应的规范性程序化 11) A.17.2.1 Availability of information processing facilities 信息处理设施的可用性描述 Information processing facilities shall be implemented with redundancy sufficient to meet availability requirements. 参考译文信息处理设施应具备足够的冗余以满足可用性要求说明加强可用性管理, 完善原 BCM 管理的生命周期 1.4.3.3. 删除的控制措施 ISO/IEC 27001:2013 较 2005 版删减了 20 项控制措施, 删减的控制措施如下 : 编号控制措施删除原因 A.6.1.1 信息安全的管理承诺在新版正文管理层承诺中已包含其内容 A.6.1.2 信息安全协调新版正文中已包含其内容 A.6.1.4 信息处理设施的授权过程已在新版 A.8.1.3 资产的合理使用中涵盖 A.6.2.1 与外部各方相关风险的识别在新版正文风险评估与处理中已涵盖 A.6.2.2 处理与客户有关的安全问题在新版正文风险评估与处理中已涵盖

编号控制措施删除原因 A.10.7.4 系统文件安全系统文件也属于信息资产, 相关要求已包含在其他控制项中 A.10.8.5 业务信息系统相关要求已包含在其他控制项中 A.11.4.2 外部连接的用户鉴别要求太过具体, 已在新版 A.9 中涵盖 A.11.4.3 网络上的设备标识要求太过具体, 已在新版 A.13.1.3 中涵盖 A.11.4.4 远程诊断和配置端口的保护要求太过具体, 已在新版 A.13.1.3 中涵盖 A.11.4.6 网络连接控制要求太过具体, 已在新版 A.13.1.3 中涵盖 A.11.4.7 网络路由控制要求太过具体, 已在新版 A.13.1.3 中涵盖 A.11.6.2 敏感系统隔离部分要求已在新版 A.13.1.3 网络隔离中涵盖, 其他相关要求由物理安全等体现 A.12.2.1 输入数据确认要求太过具体, 已在新版 A.14.2.5 安全系统工程原则中涵盖 A.12.2.2 内部处理的控制要求太过具体, 已在新版 A.14.2.5 安全系统工程原则中涵盖 A.12.2.3 消息完整性要求太过具体, 已在新版 A.14.2.5 安全系统工程原则中涵盖 A.12.2.4 输出数据确认要求太过具体, 已在新版 A.14.2.5 安全系统工程原则中涵盖 A.12.5.4 信息泄露相关要求已包含在其他控制项中 A.15.1.5 防止滥用信息处理设施相关要求已包含在其他控制项中 A.15.3.2 信息系统审计工具的保护审计工具作为软件资产的一种, 已受访问控制及其他措施的管控 1.4.3.4. 合并的控制措施 ISO/IEC 27001:2005 ISO/IEC 27001:2013 合并原因 A.6.1.3 信息安全职责的分配 A.8.1.1 角色和职责 A.11.2.1 用户的注册 A.11.5.2 用户的标识和鉴别 A.11.5.1 安全登陆规程 A.11.5.5 会话超时 A.11.5.6 联机时间的限定 A.10.4.1 恶意代码控制 A.10.4.2 控制移动代码 A.10.10.1 审计记录 A.10.10.2 监视系统的使用 A.10.10.5 日志信息的保护 A.10.10.3 管理员和操作员日志 A.10.10.4 故障日志 A.6.1.1 信息安全的角色和两者存在冗余职责 A.9.2.1 用户的注册和注两者存在冗余消 A.9.4.2 安全登陆程序要求太过具体, 进行提炼合并 A.12.2.1 控制恶意软件两者存在冗余 A.12.4.1 事件日志三者存在冗余 A.12.4.3 管理员和操作者两者存在冗余日志

ISO/IEC 27001:2005 ISO/IEC 27001:2013 合并原因 A.10.9.1 电子商务 A.10.9.3 公共可用信息 A.14.1.2 公共网络应用服务的安全两者存在冗余, 电子商务也是公共网络应用服务的一种 A.14.1.1 在业务连续性管理过程中包含信息安全 A.14.1.3 制定和实施包含信息安全的业务连续性计划 A.14.1.4 测试维护和再评估业务连续性计划 A.17.1.2 实施信息安全的连续性三者存在冗余

2. ISO/IEC 27001:2013 版标准解析 2.1. 概述 ISO/IEC 27001:2013 由引言正文及附录三个部分组成 1. 引言部分 ISO/IEC 27001:2013 的引言包括两部分 :0.1 总则和 0.2 与其他管理体系的兼容性 0.1 总则描述了制定 ISO/IEC 27001:2013 的用途信息安全管理体系的组成及应用对象 0.2 与其他管理体系的兼容性则解释该标准采用标准化 ISO Annex SL 通用架构, 对于与其他管理体系兼容的的好处 2. 正文部分 ISO/IEC 27001:2013 的正文分为 10 章, 分别为 : 1) 范围 ; 2) 引用标准 ; 3) 术语与定义 ; 4) 组织环境 ; 5) 领导力 ; 6) 策划 ; 7) 支持 ; 8) 实施 ; 9) 绩效评价 ; 10) 改进 3. 附录部分 ISO/IEC 27001:2013 的附录命名为附录 A, 附录 A 为规范性附录, 列出了实施 ISMS 的控制目标和控制措施, 与正文部分内容一样, 在附录 A 中选择控制目标和控制措施是规定的 ISMS 过程的一部分

2.2. 引言 2.2.1. 总则本国际标准为组织建立实施维护和持续改进信息安全管理体系 (ISMS) 提出相关要求采用 ISMS 是组织的一项战略决策组织 ISMS 的设计和实施受组织的战略决策组织需求目标安全需求以及工作流程和组织规模等因素的影响上述因素会随着时间不断发生变化 This International Standard has been prepared to provide requirements for establishing, implementing, maintaining and continually improving an information security management system. The adoption of an information security management system is a strategic decision for an organization. The establishment and implementation of an organization s information security management system is influenced by the organization s needs and objectives, security requirements, the organizational processes used and the size and structure of the organization. All of these influencing factors are expected to change over time. 信息安全管理体系通过实施风险管理过程来保护组织信息的保密性完整性和可用性, 对风险进行充分的管理并为相关方带来信心信息安全管理体系是组织整体管理架构和管理流程的组成部分组织在进行流程信息系统控制措施设计过程中均应考虑信息安全 The information security management system preserves the confidentiality, integrity and availability of information by applying a risk management process and gives confidence to interested parties that risks are adequately managed. It is important that the information security management system is part of and integrated with the organization s processes and overall management structure and that information security is considered in the design of processes, information systems, and controls. It is expected that an information security management system implementation will be scaled in accordance with the needs of the organization. 本国际标准可以用于内部或外部机构用于对组织的信息安全管理能力进行评估以确认其是否满足组织自身的信息安全需求 This International Standard can be used by internal and external parties to assess the organization s ability to meet the organization s own information security requirements. 本标准附录中列举的控制措施的先后顺序不代表其重要程度或实施的先后顺序要求列表编号顺序只做参考用途 The order in which requirements are presented in this International Standard does not reflect their importance or imply the order in which they are to be implemented. The list items are enumerated for reference purpose only.

ISO/IEC 27000 描述了信息安全管理体系的综述和术语, 参考了信息安全管理体系标准族 ( 包括 ISO/IEC 27003W, ISO/IEC 27004[3] 和 ISO/IEC 27005[4]) 的相关名词解释和定义 ISO/IEC 27000 describes the overview and the vocabulary of information security management systems, referencing the information security management system family of standards (including ISO/IEC 27003[2], ISO/IEC 27004[3] and ISO/IEC 27005[4]), with related terms and definitions. 本标准给出了信息安全管理体系的基本要求, 为信息安全管理体系的建立实施运行和保持改进提供了有效的参考采用信息安全管理体系应是组织的一项战略决策信息安全管理的本质是风险管理, 组织可以通过信息安全管理体系的建设来保护组织信息的保密性完整性可用性, 并对相关风险进行有效的管控信息安全管理体系应建立在组织的管理架构和管理流程之上, 脱离了组织的经营宗旨和经营环境谈信息安全是没有意义的信息安全的建设是一个系统工程, 它需求对信息的各个处理环节进行统一的综合考虑规划和构架, 并要时时兼顾组织内外环境的不断变化, 任何环节上的缺陷都会对企业信息安全构成威胁在这里我们可以引用管理学上的木桶原理加以说明木桶原理指的是 : 一个木桶由许多块木板组成, 如果组成木桶的这些木板长短不一, 那么木桶的最大容量不取决于长的木板, 而取决于最短的那块木板这个原理同样适用信息安全一个组织的信息安全水平将由与信息安全有关的所有环节中最薄弱的环节决定信息从产生到销毁的生命周期过程中包括了产生收集加工交换存储检索存档销毁等多个事件, 表现形式和载体会发生各种变化, 这些环节中的任何一个都可能影响整体信息安全水平要实现信息安全目标, 一个组织必须使构成安全防范体系这只木桶的所有木板都要达到一定的长度 2.2.2. 与其他管理体系的兼容性本国际标准采用了标准化的 ISO Annex SL 通用架构, 采用此架构的好处在于将各标准的要求以统一的架构进行描述保持了与其他管理体系的兼容性, 有利于不同管理体系进行接轨和整合 This common approach defined in the Annex SL will be useful for those organizations that choose to operate a single management system that meets the requirements of two or more management system standards. 为满足持续业务运营的要求, 组织可能将管理体系方法论用于多个领域的管理, 包括以产品和服务质量满足要求为核心目的的质量管理体系以污染物的产生和排放满足环境管理要求为核心的环境管理体系, 以及以信息资产的安全满足要求为核心的信息安全管理体系越来越多的组织会选择其中几个甚至全部在组织内应用, 显然, 让各个体系自行其是是

不现实的因此, 管理体系的整合已经成为大势所趋 ISO/IEC 27001:2013 采用了 ISO Annex SL 通用架构, 该架构对标准的结构格式通用短与和定义方面进行了统一这将确保今后编制或修订管理体系标准的持续性和易整合性以融合管理体系要求的方式设计信息安全管理体系的另一个好处, 可以使实施和维护管理体系所需的资源得到最有效率的适用, 从而在一定程度上减少因运行不同管理体系造成的机构重叠和管理官僚化, 也可减少业务过程中的执行人员不得不分别理解不同管理体系要求带来的混乱 2.3. 范围本国际标准规定了在组织内部建立实施维护和持续改进信息安全管理体系的要求本国际标准还包括了组织进行评估和处置信息安全风险的要求在本国际标准中规定的要求是通用的, 适用于各种类型规模或性质的组织当组织宣布符合本国际标准, 对于 4 到 10 章节的任何条款的删减是不可接受的 This International Standard specifies the requirements for establishing, implementing, maintaining and continually improving an information security management system within the context of the organization. This International Standard also includes requirements for the assessment and treatment of information security risks tailored to the needs of the organization. The requirements set out in this International Standard are generic and are intended to be applicable to all organizations, regardless of type, size or nature. Excluding any of the requirements specified in Clauses 4 to 10 is not acceptable when an organization claims conformity to this International Standard. 本条款中申明了标准是通用的, 适用于各种类型的组织本标准所提出的架构是高度概括和通用的, 并不针对具体的行业, 因此标准指出,4 到 10 章的内容不能删减也就是说, 采用 ISMS 的组织只能删减附录 A 的内容, 即建立整个管理框架的方法是不能删减的, 能删减的只是具体的控制措施对于附录 A 的删减原则是 : 1. 满足组织风险接受的准则 ; 2. 满足法律法规要求 ; 3. 删减必须是合理的, 且能够证明 ; 4. 必须提供证据, 证明相关责任人员可以接受相关风险需要注意的是 :ISO/IEC 27001:2013 对需要采用标准的组织而言, 是最基本的要求组织所建立的 ISMS 可超出标准的要求, 但不能低于标准的所有要求, 删减要满足规定的前提 2.4. 规范性引用文件下面是本标准的规范性引用文件凡注明日期的引用文件, 仅该引用的版本适用没

有注明日期的引用文件, 则引用文件的最新版本 ( 包括任何修订后的版本 ) 适用 The following documents, in whole or in part, are ISO/IEC 27000, 信息技术 - 安全技术 - 信息安全管理体系概述和术语 normatively referenced in this document and are indispensable for its application. For dated references, only the edition cited applies.for undated references, the latest edition of the referenced document (including any amendments) applies. ISO/IEC 27000, Information technology Security techniques Information security management systems Overview and vocabulary 本条款明确了该标准引用的标准是 ISO/IEC 27000, 需要注意的是, 凡注明日期的引用文件, 仅该引用的版本适用 2.5. 术语和定义 ISO/IEC 27000 中的术语与定义适用于本标准 For the purposes of this document, the terms and definitions given in ISO/IEC 27000 apply. 注 : 以下术语和定义均来自 27000, 保留了原先顺序 2.5.1. 访问控制 access control 确保在业务和安全要求的基础上对资产 (4.5.3) 的访问被授权和限制访问控制是按照用户身份及其所归属的某项定义组来限制用户对资产的访问, 或限制其对资产的的使用访问控制通常用于系统控制物理控制等多个领域 2.5.2. 可核查性 accountability 对一个实体的行为和决定负责此处可核查性通常含有可问责的含义, 如标准 A.9.3 中对认证信息的保护负责 2.5.3. 资产 asset 任何对组织有价值的东西 1. 对于资产的定义比较含糊, 或者说比较宽泛任何有价值的东西都以资产来论述, 组织的东西就分为两类 : 资产和垃圾就资产和信息资产 (4.5.18) 来说, 后者显然是前者的子集资产可以分为以下几种 : a) 信息, 例如 : 文档和数据等 ; b) 软件, 例如 : 电脑程序等 ; c) 硬件, 例如 : 存储设备网络设备等 ; d) 服务, 例如 :IT 服务等 e) 人力资源, 包 : 括人的资格经验能力等 ;

f) 无形资产 : 例如声誉和形象等 2. 根据资产拥有者的情况, 资产拥有者可以是组织, 也可以是个人 2.5.4. 攻击 attack 试图摧毁暴露涂改禁用窃取或非法访问未经授权使用的资产 (4.5.3) 任何对资产的未授权访问或使用都视为攻击 2.5.5. 认证 authentication 确保对某个实体特征描述正确性的证据认证是确认用户为实体的授权者的过程, 认证可以基于以下一个或多个因素 : 1. 根据你所知道的信息来证明你的身份 (what you know, 你知道什么 ); 假设某些信息只有你本人知道, 如暗号密码等, 通过询问这个信息就可以确认你的身份 ; 2. 根据你所拥有的东西来证明你的身份 (what you have, 你有什么 ); 假设某一件东西只有你本人拥有, 如 IC 卡 USB Key 单位数字证书等, 通过出示这个东西也可以确认你的身份 ; 3. 根据独一无二的身体特征来证明你的身份 (who you are, 你是谁 ), 比如指纹面貌等 2.5.6. 真实性 authenticity 验证一个实体是其所声称的所得结果中的一种属性此处真实性一般指认证信息的真实性可靠性 2.5.7. 可用性 availability 根据授权实体的要求可访问或可利用的特性可用性的目的是让所有合法用户能够使用到已授权的信息和功能可用性通常用百分率表示, 公式为 :{( 规定服务时间 - 因意外中断服务时间 )/ 规定服务时间 }X100% 例如 :99.9% 其与保密性和完整性并成为信息安全 CIA 三要素 2.5.8. 业务连续性 business continuity 确保业务持续运行的程序 (4.5.30) 或过程 (4.5.31) 业务连续性是指企业有应对风险自动调整和快速反应的能力, 以保证企业业务的连续运转为企业重要应用和流程提供业务连续性应该包括以下三个方面 1. 高可用性 (High availability) 它是指提供在本地故障情况下, 能继续访问应用的能力无论这个故障是业务流程物理设施, 还是 IT 软硬件故障 2. 连续操作 (Continuous operations) 它是指当所有设备无故障时保持业务连续运行的能力用户不需要仅仅因为正常的备份或维护而需要停止应用的能力 3. 灾难恢复 (Disaster Recovery) 它是指当灾难破坏生产中心时, 在不同的地点恢复数据的能力同时, 上述三个部分不是相互孤立的, 是相互关联, 而且有交叉的

2.5.9. 保密性 confidentiality 信息不能被未授权的个人实体或者过程 (4.5.31) 利用或知悉的特性保密性强调信息只为授权用户使用的特征保密性是在可靠性和可用性的基础之上, 保障信息安全的重要手段常用的保密技术 : 1) 物理保密 : 利用各种物理方法, 如限制隔离掩蔽控制等措施, 保护信息不被泄露 2) 防窃听 : 使对手侦察接收不到有用的信息 3) 防辐射 : 防止有用的信息以各种途径辐射出去 4: 信息加密 : 在密钥的控制下, 用加密算法对信息进行加密处理即使对手得到了加密后的信息也会因为没密钥而无法读懂有效信息 2.5.10. 控制措施 control 在行政技术管理和法律的管理风险 (4.5.34) 的方法, 包括方针 (4.5.28), 程序 (4.5.30), 指南 (4.5.16), 实践或组织结构控制是指控制主体按照给定的条件和目标, 对控制客体施加影响的过程和行为控制也常视为保护和对策的同义词 2.5.11. 控制目标 control objective 声明中描述的控制措施 (4.5.10) 所要实现的目标控制目标在附录 A 中得以体现,ISO/IEC 27001:2013 中有 35 个控制目标 2.5.12. 纠正措施 corrective action [ISO 9000:2005] 为消除已发现的不符合或其他不期望情况的原因所采取的措施纠正措施和预防措施 (4.5.29) 的区别在于 : 采取纠正措施是为了防止再发生, 而采取预防措施是为了防止发生 2.5.13. 有效性 effectiveness 完成策划的活动并得到策划的结果的程度在信息安全管理体系中, 有效性通常指信息安全目标达成的程度, 通过信息安全管理体系有效性测量准确的衡量 ISMS 的绩效, 而且还能够为管理层对信息安全管理的资源投入提供数据依据 2.5.14. 效率 efficiency 得到的结果与所使用的资源之间的关系 2.5.15. 事态 event 特定情况的发生 1. 事态可能是确定的, 也可能是不确定的 2. 事态可能是单一的, 也可能是系列的

3. 对于给定时间内事态发生的概率可以估算出来 2.5.16. 指南 guideline 为达成制定控制目标所给出的建议指南阐明应该做什么河怎么做以达到策略中所制定的控制目标 2.5.17. 影响 impact 对实现业务目标产生的不利变化 2.5.18. 信息资产 information asset 对组织有价值的知识或数据一般信息资产按其形式的不同分为五大类 : 数据资产实物资产软件资产人员资产和服务资产 2.5.19. 信息安全 information security 保持信息的保密性 (4.5.9), 完整性 (4.5.25), 可用性 (4.5.7); 另外也可以包括诸如真实性 (4.5.6), 可核查性 (4.5.2), 不可否认性 (4.5.27) 和可靠性 (4.5.33) 等关于信息安全的详细解释参见本教材第一章 2.5.20. 信息安全事态 information security event 信息安全事态是指系统服务或网络的一种可识别的状态的发生, 他可能是对信息安全 (4.5.19) 方针 (4.5.28) 的违反或控制措施 (4.5.10) 的失败, 或是和安全关联的一个先前未知的状态 1. 有害或意外的信息安全事态是引发信息安全事件的源头 2. 信息安全事态发生后可能造成信息安全事件, 也可能未造成信息安全事件 3. 信息安全事态可能由一个原因导致, 也可能由多个原因导致 2.5.21. 信息安全事件 information security incident 一个信息安全事件由单个的或者一系列的有害或意外信息安全事态 (4.5.20) 组成, 它们具有损害业务运作和威胁信息安 (4.5.19) 的极大的可能性 1. 一个或多个有害的或者意外信息安全事态是导致信息安全事件的源头 2. 事件发生后, 根据事件的影响程度, 可分为一般事件和重大事件根据信息安全事件的影响程度, 对信息安全事件做出最恰当和最有效的响应 3. 尽管信息安全事态可能是意外或违故意违反信息安全控制措施的企图的结果, 但在多数情况下, 信息安全事态本身并不意味着破坏信息安全的企图真正获得了成功, 因此也并不一定会对保密性完整性和 / 或可用性产生影响也就是说, 并非所有信息安全事态都会被归类为信息安全事件 2.5.22. 信息安全事件管理 information security incident management

从信息安全事件 (4.5.21) 中检测报告评估响应处理和学习的过程 (4.5.31) 关于信息安全事件管理的标准, 详见 ISO/IEC 27035 2.5.23. 信息安全管理体系 information security management system 整个管理体系 (4.5.26) 的一部分它是基于业务风险方法来建立实施运行监视评审保持和改进信息安全 (4.5.19) 的 1. 信息安全管理体系是组织管理体系的一个组成部分其目的是为了保护组织的信息安全 2. 信息安全管理体系应基于整体业务活动风险 3. 信息安全管理体系与其他管理体系一样, 采用过程方法,PDCA 模型支持与管理标准一致的协调的实施和运行 2.5.24. 信息安全风险 information security risk 威胁 (4.5.45) 利用一项或多项资产 (4.5.3) 的脆弱性 (4.5.46), 并由此对组织造成损害或破坏的可能性在信息安全领域, 风险就是指信息资产遭受损坏并给企业带来负面影响的潜在可能性 2.5.25. 完整性 integrity 保护资产 (4.5.3) 准确和完整的特性完整性指的是防止未授权的更改和篡改包含非授权的增加减少或破坏例如 : 在原有代码中非授权加入代码, 或者在原有代码中非授权裁剪或非授权修改了一部分代码, 均视为破坏完整性的行为 2.5.26. 管理体系 management system 实现组织控制目标的方针 (4.5.28) 程序 (4.5.30) 指南 (4.5.16) 和相关资源的框架 1. 管理体系包括组织结构方针策略规划活动指责实践程序过程和资源 2. 一个组织的管理体系可以包括若干个不同的管理体系, 如质量管理体系财务管理体系信息安全管理体系等 2.5.27. 不可否认性 non-repudiation 证明声称的事件的发生和发起实体的特性不可否认性是通过对授权主体的控制, 实现对保密性完整性和可用性的有效补充, 主要强调对授权用户行为进行监督和审查 2.5.28. 方针 policy 由组织最高管理者正式发布的关于信息安全方面的全部宗旨和方向 1. 方针应由管理者制定, 最高管理者批准发布并传达给所有员工和外部相关方

2. 方针必须体现管理者的意图 3. 方针不应该经常变化, 组织应按计划的时间间隔或当重大变化发生时进行方针的评审 2.5.29. 预防措施 preventive action [ISO 9000:2005] 为消除潜在的不符合或其他潜在不期望情况的原因所采取的措施 1. 一个潜在的不符合可以有若干的原因 2. 纠正措施 (4.5.12) 和预防措施的区别在于 : 采取预防措施是为了防止发生, 而采取纠正措施是为了防止再发生 2.5.30. 程序 procedure [ISO 9000:2005] 为进行某项活动或过程 (4.5.31) 所规定的途径 1. 程序可以形成文件, 也可以不形成文件 2. 当程序形成文件时, 通常称为书面程序或形成文件的程序含有程序的文件可称为程序文件 2.5.31. 过程 process [ISO 9000:2005] 将输入转化为输出的互相关联或互相作用的一组活动一个过程的输入通常是其他过程的输出 2.5.32. 记录 record [ISO 9000:2005] 阐明所取得的结果或提供所完成活动的证据的文件记录可用于文件的可追溯性活动, 并为验证预防措施纠正措施提供证据 2.5.33. 可靠性 reliability 与事先规划的行为或结果一致的特性信息的可靠性指当信息没有重要错误或偏向, 并且能够如实反映其拟反映或该反映的情况供使用者作依据 2.5.34. 风险 risk [ISO/IEC Guide 73:2002] 某一事件 (4.5.15) 发生的概率和其后果的组合 1. 风险有两个重要的方面 : 事件的概率和事件的结果, 或者说是事件发生的可能程度和事件发生后的最终后果 2. 风险在不同的应用领域, 可能有不同的计算方法, 但是概率和结果是其考虑的主要因素 2.5.35. 风险接受 risk acceptance [ISO/IEC Guide 73:2002] 接受风险 (4.5.34) 的决定

组织确定风险程度可接受的决定在明显满足组织方针策略和接受风险的准则的条件下, 有意识地客观地接受风险 2.5.36. 风险分析 risk analysis [ISO/IEC Guide 73:2002] 系统地使用信息来识别风险来源和估计风险 1. 风险识别的目的是决定什么发生可能会造成潜在损失, 并深入了解损失可能如何何地为什么发生 2. 风险识别包括 : 威胁识别脆弱性识别后果识别和现有控制措施的识别 a) 威胁识别 : 威胁有可能损害资产, 诸如信息过程系统甚至组织威胁的来源可能是自然的或认为的, 可能是意外的或是故意的也可能来自组织内部或外部所以对整体并按类型 ( 如未授权行为, 物理损害, 技术故障 ) 识别威胁意味着没有威胁被忽视, 包括突发的威胁 b) 脆弱性识别 : 脆弱性本身不会产生危害, 只有被某个威胁利用时才会产生危害没有相应威胁的脆弱性可能不需要实施控制措施, 但是应关注和监视其变化 c) 后果识别 : 后果可能是丧失有效性不利运行条件业务损失声誉破坏等资产受到损害后, 后果可能是面临性的, 也可能是永久的 d) 现有控制措施识别 : 为避免不必要的工作或成本, 如 : 重复的控制措施此外, 识别现有的控制措施时, 进行检查以确保控制措施 3. 在考虑丧失资产的保密性完整性和可用性所造成的后果的情况下, 评估安全失效可能造成对组织的影响 4. 根据主要的威胁和脆弱性对资产的影响以及当前实施的控制措施, 评估安全失效发生的现实可能性 2.5.37. 风险评估 risk assessment 风险分析 (4.5.36) 和风险评价 (4.5.41) 的整个过程 (4.5.31) 1. 对信息和信息处理设施的威胁脆弱性和影响及三者发生的可能性的评估 2. 风险评估也就是确认安全风险及其大小的过程, 即利用适当的风险评估工具, 包括定性和定量的方法, 确定资产风险等级和有限控制顺序 3. 风险评估确定了信息资产的价值, 对存在 ( 或可能存在的 ) 适用的威胁和脆弱性进行识别, 考虑现有的控制措施及其对已识别风险的影响, 确定潜在的后果 4. 对确定的风险根据紧急度和影响度进行优先级排序, 并按照确定的风险准则划分等级 2.5.38. 风险沟通 risk communication [ISO/IEC Guide 73:2002] 决策者和其他利益相关者之间交换或分享关于风险 (4.5.34) 的信息这些风险的信息可能是风险的存在情况自然特性形态概率严重程度可接受程度处理措施及风险的其他方面 2.5.39. 风险准则 risk criteria [ISO/IEC Guide 73:2002] 评价风险 (4.5.34) 严重性的依据

风险准则包括相关的成本及收益法律法规相关要求, 社会经济及环境因素, 利益相关者的态度, 优先次序和在评估过程中的其他要素 2.5.40. 风险估计 risk estimation [ISO/IEC Guide 73:2002] 对风险 (4.5.34) 的概率及后果进行赋值的过程风险估计可以考虑成本收益利益相关者的利害关系, 以及其他各种用于风险评价的因素 2.5.41. 风险评价 risk evaluation [ISO/IEC Guide 73:2002] 将估计后的风险 (4.5.34) 与给定的风险准则 (4.5.39) 对比, 来决定风险严重性的过程 (4.5.31) 风险评价是综合考虑信息安全事件的影响和发生可能性而得出的风险的级别确定风险是否可接受, 通常将风险分为 : 不可接受风险有条件可接受风险 ( 需要关注 ), 可接受风险在需要时, 根据建立的风险准则进行处理 2.5.42. 风险管理 risk management [ISO/IEC Guide 73:2002] 指导和控制某一组织与风险 (4.5.34) 相关问题的协调 1. 风险管理师以可以接受的方式识别控制降低或规避和转移可能影响信息系统的安全风险过程 2. 风险管理一般包括风险评估风险处理风险接受和风险沟通 3. 通过风险评估来分析和评价风险 4. 通过制定信息安全方针, 采用适当的控制目标和控制方式对风险进行控制和降低 5. 风险管理的目的是使风险被降低规避转移或降至一个可能接受的水平 2.5.43. 风险处理 risk treatment [ISO/IEC Guide 73:2002] 选择及实施风险 (4.5.34) 应对措施的过程风险处理的有效性取决于风险评估结果风险处理有可能不能立即达到一个可接受水平的残余风险, 在这种情况下可能需要进行风险评估迭代, 接下来做进一步的风险处置风险处置的四种方式 : 1) 风险降低 : 为降低风险发生的可能性或不利后果所采取的行动例如 : 采取纠正消除预防影响最小化威慑检测恢复监视和意识培训等措施 2) 风险规避 : 对新技术或不能控制风险的活动, 不采用该活动的方式例如 : 避免采用新技术等 3) 风险转移 : 与另一方共享由风险带来的损失或收益对于信息安全风险而言, 风险转移不仅考虑不利的后果 ( 损失 ) 例如 : 保险供应商等 4) 风险保留 : 也成风险接受, 组织确定风险程度可接受的决定在明显满足组织方针策略和接受风险的准则的条件下, 有意识客观地接受风险 2.5.44. 适用性声明 statement of applicability risk treatment

描述与组织的信息安全管理体系相关的和适用的控制目标和控制措施的文档 1. 适用性声明提供了一份关于风险处置决定的综述证明不会因疏忽而遗漏控制措施 2. 适用性声明包含当前实施的控制目标和控制措施 3. 适用性声明是一个包含组织所选择的控制目标和控制措施的文件, 以及选择的理由如果对标准附录 A 中任何控制目标和控制措施的删减, 应在适用性声明中说明删减的合理性 2.5.45. 威胁 threat 可能导致对系统或组织的损害的不期望事件发生的潜在原因详见第二章 2.5.46. 脆弱性 vulnerability 可能会被一个或多个威胁所利用的资产或一组资产的弱点详见第二章 2.6. 组织环境 2.6.1. 理解组织环境组织应确定与其总体目标相关的内部和外部环境因素, 相关因素将影响其实现信息安全管理体系的预期成果注 : 确定这些相关因素可参考 ISO 31000:2009 [5] 5.3 环境的建立 The organization shall determine external and internal issues that are relevant to its purpose and that affect its ability to achieve the intended outcome(s) of its information security management system. NOTE: Determining these issues refers to establishing the external and internal context of the organization considered in Clause 5.3 of ISO 31000:2009 [5]. 外部环境包括如下几个方面, 但并不局限于此 : 文化政治法律规章金融技术经济自然环境以及竞争环境, 无论是国际国内区域或地方 ; 影响组织目标的主要驱动因素和发展趋势 ; 外部利益相关者的观点和价值观内部环境包括如下几个方面, 但并不局限于此 : 资源与知识的理解能力 ( 如 : 资本时间人力流程系统和技术 ); 信息系统信息流动以及决策过程 ( 包括正式和非正式的 ); 内部利益相关者 ; 政策, 为实现的目标及战略 ; 观念价值观文化 ; 组织通过的标准以及参考模型 ;

结构 ( 如 : 治理角色责任 ) 2.6.2. 理解相关方的需求和期望组织应确定 : The organization shall determine: a) 与信息安全管理体系 a) interested parties that are relevant to the information 有关的相关方 ; security management system; and b) 相关方的信息安全需 b) the requirements of these interested parties relevant to 求注 : 相关方的要求包括法律法规要求和合同规定的义务 information security. NOTE The requirements of interested parties may include legal and regulatory requirements and contractual obligations. 组织识别出相关方的需求和期望是非常重要的, 相关方的需求和期望有两个主要来源 : a) 组织内部相关需求与期望包括但不限于 : 治理组织结构作用和责任 ; 方针目标, 为实现方针和目标制定的战略 ; 基于资源和知识理解的能力 ( 如 : 资金时间人员过程系统和技术 ); 与内部利益相关方的关系, 内部利益相关者的观点和价值观 ; 组织的文化 ; 信息系统信息流和决策过程 ; 组织所采用的标准指南和模式 ; 合同关系的形式与范围支持组织运行的信息处理加工存储沟通和存档的原则目标和业务要求的特定集合 b) 组织外部相关需求和期望外部相关方 ( 如贸易伙伴承包方和服务提供者等 ) 以组织所处的整体环境为基础, 包括法律和监管要求利益相关者的诉求和与具体风险管理过程相关的其他方面的信息等, 包括但不限于 : 国际国内地区及当地的政治经济文化法律法规技术金融以及自然环境和竞争环境 ; 影响组织目标实现的外部关键因素及其历史和变化趋势 ; 外部利益相关者及其诉求价值观风险承受度 ; 外部利益相关者与组织的关系等实施控制措施所用资源需要根据缺乏这些控制措施时由安全问题导致的业务损害加以平衡风险评估的结果将帮助指导和确定适当的管理措施管理信息安全风险以及实现所选择的用以防范这些风险的控制措施的优先级

2.6.3. 明确信息安全管理体系的范围组织应明确信息安全管理 The organization shall determine the boundaries and 体系的边界和适用性, 以确定其范围确定范围时, 组织应考虑 : applicability of the information security management system to establish its scope. When determining this scope, the organization shall consider: a) 与在 4.1 章节中有关的内 a) the external and internal issues referred to in 4.1; 部外部问题 ; b) the requirements referred to in 4.2; and b) 与在 4.2 章节中提及的需求 ; c) interfaces and dependencies between activities performed c) 组织自身活动和与其他组织开展活动的接口和依 by the organization, and those that are performed by other organizations. 赖关系 ; 范围的相关内容应形成文 The scope shall be available as documented information. 档 ISMS 范围应包括 : 为内部或外部客户提供的 ( 也是需要保护的 ) 服务信息系统资产等实际的物理场所和对象信息 ( 地理位置部门等 ) 2.6.4. 信息安全管理体系组织应按照本国际标准要 The organization shall establish, implement, maintain and 求建立实施维护和持续 continually improve an information security management 改进信息安全管理体系 system, in accordance with the requirements of this International Standard. 本标准给出了信息安全管理体系的基本要求, 为信息安全管理体系的建立实施维护和持续改进提供了一个有用的模型本标准提出的信息安全管理体系要求框架, 可以作为组织内部和外部信息安全管理一致性评估的依据, 也就是说本标准可以作为第一方审核第二方审核和第三方审核的依据

2.7. 领导力 2.7.1. 领导和承诺管理者应通过以下行动证明其实施了与信息安全管理体系有关的领导工作与承诺 : a) 确保建立与组织战略目标一致的信息安全方针和信息安全目标 ; b) 确保信息安全管理体系要求集成到组织的管理流程 ; c) 确保提供信息安全管理体系需要的各项资源 ; d) 传达信息安全管理的重要性及信息安全管理体系要求 ; e) 确保信息安全管理体系实现其预期目标 ; f) 指导和支持信息安全团队 ; g) 促使持续改进 ; h) 支持其他相关的管理者在其职责范围内履行管理职责 Top management shall demonstrate leadership and commitment with respect to the information security management system by: a) ensuring the information security policy and the information security objectives are established and are compatible with the strategic direction of the organization; b) ensuring the integration of the information security management system requirements into the organization s processes; c) ensuring that the resources needed for the information security management system are available; d) communicating the importance of effective information security management and of conforming to the information security management system requirements; e) ensuring that the information security management system achieves its intended outcome(s); f) directing and supporting persons to contribute to the effectiveness of the information security management system; g) promoting continual improvement; and h) supporting other relevant management roles to demonstrate their leadership as it applies to their areas of responsibility. 建立实施保持和持续改进信息安全管理体系, 应是组织出于业务运营的需要作出的一项战略决策因此建立实施保持和持续改进信息安全管理体系首先需要管理者作出承诺标准本条款提出了管理者应做出的承诺, 并且这种承诺应是可评价的此条文中的管理者指在确定的信息安全管理体系范围内的信息安全事项具有决策权的执行最高管理者, 根据组织的具体管理模式不同, 该管理者可以是一个人, 也可以是一组人建立实施维护和持续改进 ISMS 必定需要一定的投入, 管理者必须确保这些资源的获得 2.7.2. 方针

管理者应建立的信息安全方针 : a) 应适合组织的目标 ; b) 应包括信息安全目标 ( 见 6.2) 或者提供建立信息安全目标的框架 ; c) 应包括承诺满足信息安全的相关要求 ; d) 应包括承诺持续改进信息安全管理体系信息安全管理方针应 : e) 形成文档 ; f) 在组织内部充分沟通 ; g) 需要时对外部相关方可用 Top management shall establish an information security policy that: a) is appropriate to the purpose of the organization; b) includes information security objectives (see 6.2) or provides the framework for setting information security objectives; c) includes a commitment to satisfy applicable requirements related to information security; and d) includes a commitment to continual improvement of the information security management system. The information security policy shall: e) be available as documented information; f) be communicated within the organization; and g) be available to interested parties, as appropriate. 方针 (policy) 文件是 ISMS 的基础, 即实施某项活动的指导原则和行动路线, 它是一个组织在其整体业务范围框架下开展某项活动的总的指导原则和行动路线, 这个文件如同法律体系中的宪法一样我们无法从其中找到具体的安全要求或安全策略, 但是这个文件是所有体系文件和技术措施的根本 ISMS 方针一般由组织的管理者批准和发布, 以体现管理着对信息安全的领导和承诺制定方针的目的可以归纳为以下三个方面 : 1) 为组织提供信息安全关注的焦点, 指明方向, 确定目标 2) 用简洁通俗的方法阐述组织最重要的信息安全问题, 确保 ISMS 被充分理解和贯彻实施 3) 统领整个 ISMS, 是所有的其他文件和措施的基础 2.7.3. 组织角色职责和权力管理者应确保信息安全管理角色和权力得到分配和沟通管理者应对以下职责和权力进行分派 : a) 确保组织建立的信息安全管理体系符合本国际标准要求 ;

b) 向高层汇报信息安全管理体系的执行情况注 : 管理者也应被赋予相应的职责和权力, 向组织内部汇报信息安全管理体系的执行情况 Top management shall ensure that the responsibilities and authorities for roles relevant to information security are assigned and communicated. Top management shall assign the responsibility and authority for: a) ensuring that the information security management system conforms to the requirements of this International Standard; and b) reporting on the performance of the information security management system to top management. NOTE Top management may also assign responsibilities and authorities for reporting performance of the information security management system within the organization. 信息安全活动离不开人员的参与, 要执行信息安全活动, 人员必须被赋予相应的职责和权限, 即建立信息安全岗位和指责管理者履行其承诺的方式, 主要在于指派和批准信息安全的相关角色及其职责和权限, 为相应信息安全管理活动的展开提供资源支持 2.8. 计划 2.8.1. 处置风险和机遇 2.8.1.1. 总则

当进行信息安全管理体系规划时, 组织应参考 4.1 中的问题和 4.2 中的需求, 来决定需要被处置的风险和机遇 : a) 确保信息安全管理体系可以实现其预期目标 ; b) 避免或减少不良影响 ; c) 实现持续改进组织应规划 : d) 处置风险和机遇的行动 ; e) 如何 1) 将实施行动整合到信息安全管理体系流程中 ; 2) 评价行动的有效性 When planning for the information security management system, the organization shall consider the issues referred to in 4.1 and the requirements referred to in 4.2 and determine the risks and opportunities that need to be addressed to: a) ensure the information security management system can achieve its intended outcome(s); b) prevent, or reduce, undesired effects; and c) achieve continual improvement. The organization shall plan: d) actions to address these risks and opportunities; and e) how to 1) integrate and implement the actions into its information security management system processes; and 2) evaluate the effectiveness of these actions. 风险将影响组织目标的实现, 这些目标可能关系到组织中从战略决策到运营的各种活动, 包括各个过程和具体项目, 表现在领导战略经营财务环境社会声誉等各个方面即追求成功时, 机遇和危险并存, 通过有效的管理, 可以趋利避害对信息安全进行管理, 并不意味着将所有的资产置于绝对安全的保护措施因为绝对安全的成本是巨大的因此, 在风险控制措施的选择时, 应当考虑组织的内外部环境因素以及相关方的需求和期望一般来说, 风险处置可考虑 : 风险降低风险转移风险规避和风险接受 2.8.1.2. 信息安全风险评估组织应定义和实施信息安全风险评估流程, 从而 : a) 建立和维护信息安全风险标准, 包括 : 1) 风险接受标准 ; 2) 实施信息安全风险评估的标准 ; b) 确保信息安全风险评估活动产生一致性, 产生有效的和可比较的结果 ; c) 识别信息安全风险 : 1) 在信息安全管理体系范围内, 通过信息安全风险评估流程, 识别由于信息的机密性完整性和可用性的丧失带来的风险 ; 2) 识别风险的属主 ; d) 分析信息安全风险 : 1) 评估在 6.1.2 c)1) 中识别的风险产生的潜在后果 ;

2) 评估在 6.1.2 c)1) 中识别的风险转化为事件的可能性 ; 3) 确定风险的等级 ; e) 评价信息安全风险 : 1) 将风险分析结果与在 6.1.2 a) 中所定义的风险标准进行比较 ; 2) 根据风险等级确定风险处置的优先级组织应保留有关信息安全风险评估的过程文档 The organization shall define and apply an information security risk assessment process that: a) establishes and maintains information security risk criteria that include: 1) the risk acceptance criteria; and 2) criteria for performing information security risk assessments; b) ensures that repeated information security risk assessments produce consistent, valid and comparable results; c) identifies the information security risks: 1) apply the information security risk assessment process to identify risks associated with the loss of confidentiality, integrity and availability for information within the scope of the information security management system; and 2) identify the risk owners; d) analyses the information security risks: 1) assess the potential consequences that would result if the risks identified in 6.1.2 c) 1) were to materialize; 2) assess the realistic likelihood of the occurrence of the risks identified in 6.1.2 c) 1); and 3) determine the levels of risk; e) evaluates the information security risks: 1) compare the results of risk analysis with the risk criteria established in 6.1.2 a); and 2) prioritize the analysed risks for risk treatment. The organization shall retain documented information about the information security risk assessment process. 在进行风险评估之前, 最重要的就是确定风险评估方法, 风险评估方法应满足 ISMS 的要求已识别的业务信息安全和法律法规的要求标准中对风险评估方法提出了细致的要求, 即 : 产生有效的和可比较的结果有效意味着风险评估方法的过程和结果都是正确科学的可比较意味着, 根据结果, 可以判断风险大小可比较不一定是可以从结果判断绝对的大小, 也可能是判断相对的大小组织可以根据自身的情况, 选用适合自身的风险评估方法, 当前风险评估可参照的标准有 ISO31000,GB/T20984,ISO27005 等在新版标准中, 新增了风险的属主这一概念, 资产所有者未必是风险属主, 风险属主可以是资产的管理者该风险管控的负责人 ( 如部门领导 ) 或组织领导者等一般而言, 风险评估的结果是一个风险的 Rank, 即一个相对的等级列表, 其中的值没有很实际的意义, 这个值在整体中的位置可能 ( 类似于排名 ) 更有价值这种结果必须是可比较和可再现的